RC4; όχι ευχαριστώ

Από αυτήν εδώ την ιστοσελίδα, έχουμε αναφέρει κατά καιρούς το πόσο αναξιόπιστος είναι ο αλγόριθμος που χρησιμοποιεί η RC4 (Rivest 4) για κρυπτογράφηση. Όπως φαίνεται, ερευνητές συμφωνούν απόλυτα.

Βέλγοι ερευνητές που προετοιμάζονται για το Usenix Security Symposium που θα πραγματοποιηθεί στην τον Αύγουστο, εκτιμούν ότι μπορούν να αποκρυπτογραφήσουν κρυπτογραφημένα cookies με RC4 μέσα σε 75 ώρες (PDF).security phishing RC4

Ο Mathy Vanhoef και ο Frank Piessens από το Πανεπιστήμιο της Leuven ερεύνησαν ιστοσελίδες που χρησιμοποιούν TLS με RC4, καθώς και Wi-Fi με κρυπτογράφηση WPA-TKIP.

Όπως εξηγούν, η αδυναμία της RC4 βασίζεται στο bias του RC4 keystream. Το bias ήταν ήδη γνωστό, και είναι ο λόγος που μεγάλες εταιρείες όπως η κατακρίνουν την κρυπτογράφηση με Rivest Cipher 4. Τι διαφορετικό όμως κατάφεραν οι ερευνητές Vanhoef και Piessens;

Για συνεδρίες HTTPS που εξασφαλίζονται με TLS χρησιμοποιώντας την κρυπτογράφηση Rivest Cipher 4, οι ερευνητές εκτιμούν ότι μπορούν να “αποκρυπτογραφήσουν ένα secure cookie με ένα ποσοστό επιτυχίας 94% χρησιμοποιώντας 9×227 cyphertexts”.

Για να σπάσουν την ασφάλεια του TLS/HTTPS, οι Βέλγοι ερευνητές εισήγαγαν γνωστά δεδομένα γύρω από το cookie, “το παραβιάσαμε χρησιμοποιώντας το ABSAB bias του Mantin,  και με brute-forcing  στο cookie από ένα  plain-text … μπορέσαμε να εκτελέσουμε  μέσα σε 75 ώρες “.

“Εάν προσθέταμε ένα κώδικα JavaScript στο πρόγραμμα περιήγησης του θύματος, «θα ήμασταν σε θέση να εκτελέσουμε την επίθεση … μέσα σε μόλις 52 ώρες.”

Με το WPA-TKIP τα πράγματα γίνονται χειρότερα. Η επίθεση των ερευνητών μπορεί να “εκτελεστεί μέσα σε μια ώρα”:

“Για να σπάσει το WPA-TKIP θα παρουσιάσουμε μια μέθοδο που παράγει ένα μεγάλο αριθμό πανομοιότυπων πακέτων. Αυτό το πακέτο αποκρυπτογραφείται με τη δημιουργία plaintext, και χρησιμοποιώντας τη περιττή δομή του πακέτου μπορείτε να αφαιρέσετε κακούς υποψηφίους. Από το αποκρυπτογραφημένο πακέτο αντλούμε το κλειδί TKIP MIC, το οποίο μπορεί να χρησιμοποιηθεί για την έγχυση και την αποκρυπτογράφηση πακέτων “.

 

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).